W ekosystemie mobilnym nadużycia mogą zagrażać Twoim przychodom, wzrostowi i zaufaniu użytkowników. Aby pomóc deweloperom w osiąganiu sukcesów, Google Play oferuje niezawodną usługę wykrywania zagrożeń – interfejs Play Integrity API. Interfejs Play Integrity API pomaga sprawdzać, czy interakcje i żądania serwera są autentyczne – pochodzą z niezmodyfikowanej aplikacji zainstalowanej z Google Play na certyfikowanym urządzeniu z Androidem.

Wpływ jest znaczący: aplikacje korzystające z funkcji ochrony integralności w Google Play odnotowują średnio o 80% mniejsze nieautoryzowane użycie w porównaniu z innymi aplikacjami. Dziś korzystają z niej liderzy z różnych branż, m.in. Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm i Remini, aby chronić swoje firmy.

Stale ulepszamy interfejs Play Integrity API, aby ułatwić jego integrację, zwiększyć odporność na zaawansowane ataki i poprawić odzyskiwanie użytkowników, którzy nie spełniają standardów integralności lub napotykają błędy, dzięki nowym promptom w aplikacji w Google Play.

Wykrywanie zagrożeń dla Twojej firmy

Interfejs Play Integrity API udostępnia oceny, które pomagają wykrywać konkretne zagrożenia mające wpływ na Twoje przychody podczas krytycznych interakcji.

• Nieautoryzowany dostęp: wynik accountDetails pomaga określić, czy użytkownik zainstalował Twoją aplikację lub grę w Google Play lub za nią zapłacił.
• Modyfikacja kodu: ocena appIntegrity pomaga określić, czy używasz niezmodyfikowanego pliku binarnego rozpoznawanego przez Google Play.
• Urządzenia stanowiące ryzyko i środowiska emulowane: ocena deviceIntegrity pomaga określić, czy aplikacja działa na oryginalnym urządzeniu z Androidem certyfikowanym przez Play Protect lub oryginalnym wystąpieniu Gier Google Play na PC.
• Urządzenia bez poprawek: w przypadku urządzeń z Androidem 13 lub nowszym odpowiedź MEETS_STRONG_INTEGRITY w ocenie deviceIntegrity pomaga określić, czy na urządzeniu zastosowano najnowsze aktualizacje zabezpieczeń. Możesz też wyrazić zgodę na deviceAttributes, aby w odpowiedzi uwzględnić potwierdzoną wersję pakietu Android SDK.
• Ryzykowny dostęp innych aplikacji: appAccessRiskVerdict pomaga określić, czy uruchomione są aplikacje, które mogą przechwytywać ekran, wyświetlać nakładki lub sterować urządzeniem (np. przez niewłaściwe wykorzystanie uprawnień ułatwień dostępu). Ta ocena automatycznie wyklucza aplikacje, które służą do ułatwień dostępu.
• Znane złośliwe oprogramowanie: ocena playProtectVerdict pomaga określić, czy usługa Google Play Protect jest włączona i czy wykryła zainstalowane na urządzeniu stwarzające ryzyko lub niebezpieczne aplikacje.
• Nadaktywność: poziom recentDeviceActivity pomaga określić, czy urządzenie wysłało ostatnio anomalnie dużą liczbę żądań tokena integralności, co może wskazywać na zautomatyzowany ruch i być oznaką ataku.
• Powtarzające się nadużycia i ponownie używane urządzenia: deviceRecall (wersja beta) pomaga określić, czy korzystasz z urządzenia, które zostało wcześniej przez Ciebie oznaczone, nawet jeśli aplikacja została ponownie zainstalowana lub urządzenie zostało zresetowane. Dzięki funkcji zapamiętania urządzenia możesz dostosować powtarzane działania, które chcesz śledzić.

Interfejsu API można używać na urządzeniach z Androidem, w tym na telefonach, tabletach, urządzeniach składanych, Androidzie Auto, Androidzie TV, Androidzie XR, ChromeOS, Wear OS i w Grach Google Play na PC.

Pełne wykorzystanie możliwości interfejsu Play Integrity API

Aplikacje i gry odniosły sukces dzięki interfejsowi Play Integrity API, ponieważ uwzględniły kwestie bezpieczeństwa i zastosowały stopniowe podejście do strategii przeciwdziałania nadużyciom.

Krok 1. Zdecyduj, co chcesz chronić: określ, które działania i żądania serwera w aplikacjach i grach są ważne do zweryfikowania i ochrony. Możesz na przykład przeprowadzać kontrole integralności, gdy użytkownik uruchamia aplikację, loguje się, dołącza do gry wieloosobowej, generuje treści oparte na AI lub przesyła pieniądze.

Krok 2. Zbieraj odpowiedzi dotyczące integralności: przeprowadzaj kontrole integralności w ważnych momentach, aby zacząć zbierać dane o wynikach, początkowo bez egzekwowania. Dzięki temu możesz analizować odpowiedzi użytkowników i sprawdzać, jak korelują one z dotychczasowymi sygnałami nadużyć i danymi historycznymi o nadużyciach.

Krok 3. Określ strategię egzekwowania: na podstawie analizy odpowiedzi i tego, co chcesz chronić, określ strategię egzekwowania. Możesz na przykład zmieniać ryzykowny ruch w ważnych momentach, aby chronić wrażliwe funkcje. Interfejs API oferuje szereg odpowiedzi, dzięki czemu możesz wdrożyć strategię egzekwowania zasad na różnych poziomach w zależności od poziomu zaufania, jakim obdarzasz każdą kombinację odpowiedzi.

Krok 4. Stopniowo wdrażaj egzekwowanie zasad i zapewniaj wsparcie użytkownikom: stopniowo wdrażaj egzekwowanie zasad. W przypadku problemów z decyzjami lub ich niedostępności stosuj strategię ponawiania prób. Przygotuj się też na pomoc użytkownikom, którzy mają problemy. Nowe komunikaty w aplikacji w Google Play, opisane poniżej, ułatwiają przywracanie użytkownikom, którzy mają problemy, możliwości korzystania z aplikacji.

NOWOŚĆ: automatyczne odzyskiwanie użytkowników, którzy mają problemy

Decyzja o tym, jak reagować na różne sygnały dotyczące integralności, może być skomplikowana. Musisz obsługiwać różne odpowiedzi dotyczące integralności i kody błędów interfejsu API (np. problemy z siecią lub nieaktualne Usługi Play). Ułatwiamy to dzięki nowym powiadomieniom w aplikacji w Google Play. Możesz wyświetlać użytkownikom prośbę o skorzystanie z Google Play, aby automatycznie rozwiązywać różne problemy bezpośrednio w aplikacji. Zmniejsza to złożoność integracji, zapewnia spójny interfejs użytkownika i pomaga przywrócić aplikację do prawidłowego stanu.

Interfejs GET_INTEGRITY automatycznie wykrywa problem (w tym przykładzie błąd sieci) i go rozwiązuje.

Możesz wywołać okno  GET_INTEGRITY dostępne w bibliotece interfejsu Play Integrity API w wersji 1.5.0 lub nowszej po wystąpieniu różnych problemów, aby automatycznie przeprowadzić użytkownika przez niezbędne poprawki, w tym:

• Nieautoryzowany dostęp:  GET_INTEGRITY kieruje użytkownika z powrotem do odpowiedzi z licencją Play w accountDetails.
• Modyfikacja kodu: GET_INTEGRITY kieruje użytkownika z powrotem do odpowiedzi rozpoznawanej przez Google Play w przypadku naruszenia integralności aplikacji.
• Problemy z integralnością urządzenia: GET_INTEGRITY zawiera wskazówki dla użytkownika, jak wrócić do stanu MEETS_DEVICE_INTEGRITY w deviceIntegrity.
• Kody błędów, które można naprawić: funkcja GET_INTEGRITY rozwiązuje błędy interfejsu API, które można naprawić, np. wyświetla użytkownikowi prośbę o naprawienie połączenia sieciowego lub zaktualizowanie Usług Google Play.

Oferujemy też specjalistyczne okna dialogowe, w tym  GET_STRONG_INTEGRITY (działa podobnie jak GET_INTEGRITY, ale dodatkowo przywraca użytkownikowi stan MEETS_STRONG_INTEGRITY bez znanych problemów ze złośliwym oprogramowaniem w playProtectVerdict), GET_LICENSED (przywraca użytkownikowi stan, w którym aplikacja jest licencjonowana i rozpoznawana przez Google Play) oraz CLOSE_UNKNOWN_ACCESS_RISK i CLOSE_ALL_ACCESS_RISK (zachęcają użytkownika do zamknięcia potencjalnie ryzykownych aplikacji).

Wybieranie nowoczesnych rozwiązań dotyczących integralności

Oprócz interfejsu Play Integrity API Google oferuje kilka innych funkcji, które warto wziąć pod uwagę w ramach ogólnej strategii przeciwdziałania nadużyciom. Zarówno interfejs Play Integrity API, jak i automatyczna ochrona w Google Play zapewniają użytkownikom i deweloperom korzyści związane z ochroną dystrybucji aplikacji. Zachęcamy, aby dotychczasowe aplikacje przechodziły na te nowoczesne rozwiązania w zakresie integralności zamiast korzystać z starszej biblioteki licencjonowania w Google Play.

Automatyczna ochrona:  zapobiegaj nieuprawnionemu dostępowi dzięki automatycznej ochronie w Google Play i zapewnij użytkownikom możliwość otrzymywania oficjalnych aktualizacji aplikacji. Włącz tę funkcję, a Google Play automatycznie doda do kodu aplikacji kontrolę instalacji. Nie musisz wykonywać żadnych czynności związanych z integracją. Jeśli Twoja chroniona aplikacja zostanie rozpowszechniona lub udostępniona za pomocą innego kanału, użytkownik zobaczy prośbę o pobranie jej z Google Play. Kwalifikujący się deweloperzy w Google Play mają też dostęp do zaawansowanej ochrony przed nieuprawnionymi modyfikacjami, która wykorzystuje zaciemnianie kodu i weryfikacje w czasie działania, aby utrudniać i podrażać modyfikowanie i redystrybucję chronionych aplikacji.

Atestowanie klucza platformy Android:  interfejs Play Integrity API to zalecany sposób korzystania z atestowania klucza platformy Android wspieranego sprzętowo. Interfejs Play Integrity API obsługuje podstawową implementację w ekosystemie urządzeń, Google Play automatycznie rozwiązuje problemy związane z kluczami i awariami, a Ty możesz używać interfejsu API do wykrywania innych zagrożeń. Deweloperzy, którzy bezpośrednio wdrażają atestowanie kluczy zamiast korzystać z interfejsu Play Integrity API, powinni przygotować się na nadchodzącą rotację certyfikatu głównego platformy Android w lutym 2026 r., aby uniknąć przerw w działaniu (deweloperzy korzystający z interfejsu Play Integrity API nie muszą podejmować żadnych działań).

Sprawdzanie aplikacji Firebase: deweloperzy korzystający z Firebase mogą używać Sprawdzania aplikacji Firebase, aby otrzymywać na certyfikowanych urządzeniach z Androidem oceny integralności aplikacji i urządzenia oparte na Play Integrity API, a także odpowiedzi od innych dostawców atestów platformy. Aby wykrywać wszystkie inne zagrożenia i korzystać z innych funkcji Google Play, zintegruj bezpośrednio interfejs Play Integrity API.

reCAPTCHA Enterprise: klienci korporacyjni, którzy szukają kompleksowego rozwiązania do zarządzania oszustwami i botami, mogą kupić reCAPTCHA Enterprise na urządzenia mobilne. reCAPTCHA Enterprise korzysta z niektórych sygnałów interfejsu Play Integrity API zapobiegających nadużyciom i łączy je z sygnałami reCAPTCHA.

Zabezpiecz swoją firmę

Interfejs Play Integrity API to niezbędne narzędzie do ochrony rozwoju Twojej firmy. Opiera się on na solidnych podstawach bezpieczeństwa wspieranego sprzętowo, a nowe automatyczne okna dialogowe ułatwiają integrację.

Zacznij korzystać z dokumentacji interfejsu Play Integrity API